使用 Active Directory 配置身份验证

您可以在 Google Cloud VMware Engine 中配置 vCenter 和 NSX-T,以便将本地 Active Directory 用作 LDAP 身份源以进行用户身份验证。设置完成后,您可以提供访问 vCenter 和 NSX-T Manager 的权限,并分配管理私有云所需的角色。

准备工作

本文档中的步骤假定您首先执行以下操作:

  • 建立从本地网络到您的私有云的连接
  • 启用本地 Active Directory 的 DNS 名称解析:
    • 对于旧版 VMware Engine 网络:通过在私有云中创建 DNS 转发规则,启用本地 Active Directory 的 DNS 名称解析。
    • 对于标准 VMware Engine 网络:通过配置到 VMware Engine 网络的 DNS 绑定,启用本地 Active Directory 的 DNS 名称解析。

下表列出了将本地 Active Directory 网域设置为 vCenter 和 NSX-T 上的 SSO 身份源时所需的信息。在设置 SSO 身份源之前,请先收集以下信息:

信息 说明
用户的基本 DN 用户的基本标识名。
域名 网域的 FQDN,例如 example.com。请勿在此字段中提供 IP 地址。
网域别名 网域 NetBIOS 名称。如果您使用 SSPI 身份验证,请将 Active Directory 网域的 NetBIOS 名称添加为身份源的别名。
群组的基本 DN 群组的基本标识名。
主服务器网址

网域的主域名控制器 LDAP 服务器。

使用 ldap://hostname:portldaps://hostname:port 格式。对于 LDAP 连接,端口通常为 389;对于 LDAPS 连接,端口通常为 636。在 Active Directory 多网域控制器部署中:对于 LDAP,端口通常为 3268;对于 LDAPS,端口通常为 3269。

在主要或辅助 LDAP 网址中使用 ldaps:// 时,需要使用证书为 Active Directory 服务器的 LDAPS 端点建立信任。
辅助服务器网址 用于故障切换的辅助网域控制器 LDAP 服务器的地址。
选择证书 如需将 LDAPS 用于您的 Active Directory LDAP 服务器或 OpenLDAP 服务器身份源,请点击在网址文本框中输入 ldaps:// 后显示的选择证书按钮。不需要辅助服务器网址。
用户名 对用户和群组的基本 DN 至少拥有只读权限的网域用户的 ID。
密码 用户名指定的用户密码。

在 vCenter 上添加身份源

  1. 在您的私有云上升级权限
  2. 登录到私有云的 vCenter。
  3. 选择首页>管理
  4. 选择单点登录>配置
  5. 打开身份源标签页,然后点击 +添加以添加新的身份源。
  6. 选择 Active Directory 作为 LDAP 服务器,然后点击下一步
  7. 为您的环境指定身份源参数,然后点击下一步
  8. 检查设置,然后点击完成

在 NSX-T 上添加身份源

  1. 在您的私有云中登录到 NSX-T Manager。
  2. 转到系统 > 设置 > 用户和角色 > LDAP
  3. 点击添加身份源
  4. 名称字段中,输入身份源的显示名。
  5. 指定身份源的域名基本 DN
  6. 类型列中,选择 Active Directory over LDAP
  7. LDAP 服务器列中,点击设置
  8. 设置 LDAP 服务器窗口中,点击添加 LDAP 服务器
  9. 指定 LDAP 服务器参数,然后点击检查状态以验证从 NSX-T Manager 到您的 LDAP 服务器的连接。
  10. 点击添加以添加 LDAP 服务器。
  11. 点击应用,然后点击保存

将本地 Active Directory 用作身份源所需的端口

您需要使用下表中列出的端口将本地 Active Directory 配置为私有云 vCenter 上的身份源。

端口 来源 目的地 目的
53 (UDP) 私有云 DNS 服务器 本地 DNS 服务器 将本地 Active Directory 域名的 DNS 查找从私有云 vCenter 服务器转发到本地 DNS 服务器所需。
389 (TCP/UDP) 私有云管理网络 本地 Active Directory 网域控制器 从私有云 vCenter 服务器到 Active Directory 网域控制器的 LDAP 通信(用于用户身份验证)所需。
636 (TCP) 私有云管理网络 本地 Active Directory 网域控制器 从私有云 vCenter 服务器到 Active Directory 网域控制器的安全 LDAP (LDAPS) 通信(用于用户身份验证)所需。
3268 (TCP) 私有云管理网络 本地 Active Directory 全局目录服务器 多网域控制器部署中的 LDAP 通信所需。
3269 (TCP) 私有云管理网络 本地 Active Directory 全局目录服务器 多网域控制器部署中的 LDAPS 通信所需。
8000 (TCP) 私有云管理网络 本地网络 从私有云网络到本地网络的虚拟机 vMotion 所需。

后续步骤

如需详细了解 SSO 身份源,请参阅以下 vSphere 和 NSX-T 数据中心文档: